网络安全管理及实用技术 教学课件 作者 贾铁军9-12章 第10章 操作系统与站点安全管理.pptVIP

第10章 操作系统与站点安全管理;目 录;目 录;10.1 Windows操作系统的安全管理; 智能卡在用户登录中提供双因子身份验证功能，增强系统安全性。 单点登录是一种身份验证方式，当用户使用口令或智能卡登录到域后，同时完成向域中所有计算机的身份验证。 ; （2）基于对象的访问控制 访问控制是在身份认证的基础上，按照授权对用户、组等提出访问计算机或网络对象等资源的请求加以控制，包括三方面因素：权限、用户权利和对象审查。 1）权限：规定用户或组对某个对象的访问类型，包括文件权限、共享权限、服务权限、管理连接权限等。 2）用户权利：定义了计算环境中用户和组特定的权利。 3）对象审查：审核用户访问对象的情况。; （3）审核策略 审核跟踪是一种事后安全机制，通过审核对象的行为状况来追查潜在安全问题，并在出现攻击事???后提供相关证据。 （4）软件限制策略 软件限制策略可以对未知或不被信任的软件进行控制。 软件限制策略是在默认安全级别之外做出一些特殊规定，即通过为特定软件创建规则做出例外安排。 ; （5）加密文件系统 提供一种核心文件加密技术，并在NTFS（New Technology File System）文件系统中存储已加密的文件。 （6）安全策略 Windows为了建立安全防护体系，提供多种安全策略，如控制密码策略、账户锁定策略、Kerberos策略、审核策略、用户权限策略以及其它策略。 （7）公钥基础设施 公钥基础设施是综合数字证书、证书颁发机构、注册机构以及相关支撑设施的系统，用于验证使用公钥加密进行信息交换时各交互方的有效性。 （8）Internet协议安全性 Internet协议安全性（如IPSec）是一种开放标准框架结构，通过使用加密的安全服务确保在IP网络上进行保密而安全的通讯。;2.安全性改进 从技术角度来看， Windows Server 2003在安全方面进行了许多创新设计，增加新的安全认证，改进安全算法。 Windows Server 2003对许多组件进行了重新设计，改善了原有系统中的漏洞，而且形成Windows Server 2003中的安全特色。 此外，Windows Server 2003还有其它安全特性，如内置Internet连接防火墙（Internet Connection Firewall，ICF），为网络服务器提供了基本的端口安全性。; 3．不安全因素 （1）漏洞的安全问题 Windows Server 2003系统存在安全漏洞。例如，系统提供的RPC服务在通过TCP/IP处理信息交换时，存在远程堆缓冲区溢出问题。 （2）服务的安全问题 由于服务能够在用户登录之前由系统自动运行，所以，即使没有用户登录，一个服务存在的安全问题通常会导致系统崩溃，这也是木马喜欢的运行方式。 （3）使用默认访问控制列表引起的安全问题 默认情况下，大部分文件夹对Everyone组的权限设置是完全控制（Full Control）。共享权限容易导致安全问题，尤其是系统默认共享（比如IPC$、C$、ADMlN$等）常常被攻击者用作入侵通道。 ;10.1 Windows操作系统的安全管理;10.1 Windows操作系统的安全管理;10.1 Windows操作系统的安全管理;10.1 Windows操作系统的安全管理;10.2 UNIX操作系统的安全管理; （2）文件权限 UNIX以文件形式管理计算机存储资源，所以文件的安全是操作系统安全最重要的部分。 UNIX系统对每个文件属性设置一系列控制信息，以此来决定用户对文件的访问权限，即谁能存取或执行该文件。 此外，UNIX系统提供专门命令来处理文件、目录的所属关系与访问权限： chown：改变文件属主。 chgrp：改变文件所属组。 chmod：改变文件访问权限。; SUID即Set User ID，而SGID是Set Group ID。 如果一个文件被设置了SUID或SGID位，分别表现在所有者或同组用户的权限的可执行位上（小s表示该文件的所有者具有执行权限且该文件被设置了相应的设置位权限，大S表示该文件的所有者没有执行权限但该文件被设置了相应的设置位权限）。 UNIX系统还有两个称之为effective的id，即有效id。内核主要根据euid和egid来确定进程对资源的访问权限